[ تنبيه هام ] لكل من حمل سكربت MySimpleFileUploader v1.x الرجاء الدخول

**ff5006** · 23-09-2007

بسم الله الرحمن الرحيم

السلام عليكم

اخواني الذين قاموا بتحميل سكربت رفع الملفات

MySimpleFileUploader

أي نسخه من النسخ.

ألرجاء ايقاف السكربت الآن لأن السكربت يحوي ثغرة تمكن من رفع شيل.
لحين ترقيع السكربت بإذن الله.
ومن لديه القدرة على اغلاق الثغره , الرجاء مراسلتي على :
faha1ad2@hotmail.com

الشكر للأخ
خالد العازمي Raff3.com

على الإبلاغ ..
الرجاء من الحاضر اعلام الغائب

وآسف على تعطيلكم.

**b happy** · 23-09-2007

يا ريت تحط لنا السكريبت حتى نستطيع الأطلاع على محتوى الملفات و ترقيعه إن توفر الوقت

بالتوفيق

**ff5006** · 23-09-2007

السلام عليكم...
أخي هذا رابط السكربت للتحميل :
http://r9ef.com/forum/attach.php?download=1&id=3

**Losha.Net** · 23-09-2007

تفضل أخى بى هبى
http://www.swalif.net/softs/swalif54/softs206222/

سكربت رفع الملفات - النسخة المرقعه - MySimpleFileUploader v1.5
http://www.swalif.net/softs/swalif54/softs206342/

**b happy** · 23-09-2007

ما دام هناك نسخة مرقعه هل هناك داعي للترقيع

على فكرة هو فقط لا يقوم بفحص نوع الملف (ليس اتمداده) و هذا خطأ بالإضافة انه لم يقم بحماية مجلد الملفات

بالتوفيق

**Ameen Al-Harbi** · 23-09-2007

المشاركة الأصلية كتبت بواسطة b happy مشاهدة المشاركة

ما دام هناك نسخة مرقعه هل هناك داعي للترقيع

على فكرة هو فقط لا يقوم بفحص نوع الملف (ليس اتمداده) و هذا خطأ بالإضافة انه لم يقم بحماية مجلد الملفات

بالتوفيق

ياليت توضح كلامك قليلاً

الخطأ اكتفاءه بفحص الـ mime ؟

**ff5006** · 23-09-2007

ما دام هناك نسخة مرقعه هل هناك داعي للترقيع

على فكرة هو فقط لا يقوم بفحص نوع الملف (ليس اتمداده) و هذا خطأ بالإضافة انه لم يقم بحماية مجلد الملفات

بالتوفيق

اخي النسخه المرقعه فيها ثغرة , ولاأعلم كيف , حيث ان اللي رقع لي النسخه جزاه الله خيرا , قال لي ان الثغره مرقعه , ولكن يبدوا انه في ثغره.

**b happy** · 24-09-2007

المشاركة الأصلية كتبت بواسطة S.Wanderer مشاهدة المشاركة

ياليت توضح كلامك قليلاً

الخطأ اكتفاءه بفحص الـ mime ؟

الخطأ بالأكتفاء بأحد الأثنين و لكن الخطأ في هذا السكريبت انه لم يقم بفحص ال mime و اكتفى بفحص الامتداد

بمعنى آخر ahmad.php.gif لو كان ملف احمد هو شل فسيعمل الشل و يعطي الهاكر صلاحيات

ايضا مجلد الملفات لازم يكون له تصريح منع الأستخدام من خارج الموقع يعني يمنع الطلب المباشرة إلا عن طريق السيرفر يعني لو جيت تحمل ملف السيرفر يجيبه لك و يعطيك اياه دون ان تكون لك صلاحيات على الملف نفسه

**b happy** · 24-09-2007

المشاركة الأصلية كتبت بواسطة ff5006 مشاهدة المشاركة

اخي النسخه المرقعه فيها ثغرة , ولاأعلم كيف , حيث ان اللي رقع لي النسخه جزاه الله خيرا , قال لي ان الثغره مرقعه , ولكن يبدوا انه في ثغره.

إذا كنت تستخدم احدى النسخ الي فوق قلي ايش وحده و إذا تستخدم نسخة مرقعه عطيني اشوف شو مشكلتها

بالتوفيق

**Ameen Al-Harbi** · 24-09-2007

المشاركة الأصلية كتبت بواسطة b happy مشاهدة المشاركة

الخطأ بالأكتفاء بأحد الأثنين و لكن الخطأ في هذا السكريبت انه لم يقم بفحص ال mime و اكتفى بفحص الامتداد

بمعنى آخر ahmad.php.gif لو كان ملف احمد هو شل فسيعمل الشل و يعطي الهاكر صلاحيات

ايضا مجلد الملفات لازم يكون له تصريح منع الأستخدام من خارج الموقع يعني يمنع الطلب المباشرة إلا عن طريق السيرفر يعني لو جيت تحمل ملف السيرفر يجيبه لك و يعطيك اياه دون ان تكون لك صلاحيات على الملف نفسه

النسخة اللى حملتها متحقق من ال mime من خلال دالة getimagesize

يظهر اني محمل نسخة غير اللى انت محملها

**ff5006** · 24-09-2007

السلام عليكم

آسف على التأخير في الرد

أخواني آخر نسخه هي
MySimpleFileUploader v1.5 المرقعه

لكن يبدوا انها عير مرقعه ترقيعاً كاملاً

حيث انه يمكن رفع شيل بامتداد
shell.php.rar

بكل سهوله ويسر

وهذا رابط تجريبي
على استضافة مجانية

[ مركز رفع الملفات لـ موقع خدمات ]-Powerd By MySimpleFileUploader

طبعاً مكتوب بالأسفة v1.0 وهذي غلط مني انا , والنسخه هي v1.5

فياليت تلحقونا بالترقيع ياأخواني , لأني والله ماقدر عليها ...

سكربت رفع الملفات - النسخة المرقعه - MySimpleFileUploader v1.5
http://www.swalif.net/softs/swalif54/softs206342/

**b happy** · 25-09-2007

المشاركة الأصلية كتبت بواسطة S.Wanderer مشاهدة المشاركة

النسخة اللى حملتها متحقق من ال mime من خلال دالة getimagesize

يظهر اني محمل نسخة غير اللى انت محملها

إذا الملف المرفوع مش صورة فهذه الدالة تسبب ثغره

يعني بمعنى آخر shell.php.zip راح يشتغل الشل طبعا

لازم استخدام ال type و هي تأتي مع بيانات الملف داخل مصفوفة $_FILES[file']

**b happy** · 25-09-2007

المشاركة الأصلية كتبت بواسطة ff5006 مشاهدة المشاركة

السلام عليكم

آسف على التأخير في الرد

أخواني آخر نسخه هي
MySimpleFileUploader v1.5 المرقعه

لكن يبدوا انها عير مرقعه ترقيعاً كاملاً

حيث انه يمكن رفع شيل بامتداد
shell.php.rar

بكل سهوله ويسر

وهذا رابط تجريبي
على استضافة مجانية

[ مركز رفع الملفات لـ موقع خدمات ]-Powerd By MySimpleFileUploader

طبعاً مكتوب بالأسفة v1.0 وهذي غلط مني انا , والنسخه هي v1.5

فياليت تلحقونا بالترقيع ياأخواني , لأني والله ماقدر عليها ...

سكربت رفع الملفات - النسخة المرقعه - MySimpleFileUploader v1.5
http://www.swalif.net/softs/swalif54/softs206342/

سأطلع على النسخة و لي عودة

**ff5006** · 25-09-2007

سأطلع على النسخة و لي عودة

بالنتظارك ...

**Ameen Al-Harbi** · 25-09-2007

المشاركة الأصلية كتبت بواسطة b happy مشاهدة المشاركة

إذا الملف المرفوع مش صورة فهذه الدالة تسبب ثغره

يعني بمعنى آخر shell.php.zip راح يشتغل الشل طبعا

لازم استخدام ال type و هي تأتي مع بيانات الملف داخل مصفوفة $_FILES[file']

ال type كيف أستخدمها وهي في يد الزائر ؟ والمتصفح من يقوم بتحديدها وإرسالها ؟

الـ type من الخطأ الإعتماد عليها يا عزيزي لأنه بالإمكان تجاوزها بكل سهولة

أما عند دالة getimagesize لو كان الملف المرفوع ليس صورة فلن تعطي ال mime قيمة image

وهذه هي فكرة هذا السكربت , تحميل الصور فقط

كنت متأكد انه هناك سوء فهم بيننا والآن اتضحت الصورة

الموضوع: [ تنبيه هام ] لكل من حمل سكربت MySimpleFileUploader v1.x الرجاء الدخول

أدوات الموضوع

بحث في الموضوع

[ تنبيه هام ] لكل من حمل سكربت MySimpleFileUploader v1.x الرجاء الدخول

المواضيع المتشابهه

سكربت رفع الملفات MySimpleFileUploader النسخه 1.7 !.

سكربت رفع الملفات v1.0 - MySimpleFileUploader

تنبيه للجميع الرجاء الدخول : بعض الملاحظات لتنظيم المنتدى

تنبيه للجميع الرجاء الدخول : بعض الملاحظات لتنظيم المنتدى

ضوابط المشاركة